CCleaner compromis: mieux vérifier votre PC
- Catégorie: Sécurité
Piriform, fabricant du populaire nettoyeur de fichiers CCleaner, a confirmé le lundi 18 janvier 2017 que des pirates informatiques avaient réussi à attaquer le réseau informatique de l'entreprise.
Les pirates ont compromis deux versions de CCleaner dans l'attaque qui ont été utilisées par jusqu'à 3% de la base d'utilisateurs de l'entreprise.
Les versions concernées sont CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191. Selon Piriform, seules les versions 32 bits des applications ont été compromises et distribuées en utilisant la propre infrastructure de l'entreprise.
L'entreprise demande aux utilisateurs de mettre à jour leur version du programme vers la dernière version disponible si cela n'a pas déjà été fait. La dernière version de CCleaner est la version 5.34 au moment de la rédaction.
- CCleaner 5.33.6162 a été publié le 15 août 2017 et une version mise à jour non compromise a été publiée le 12 septembre 2017.
- CCleaner Cloud 1.07.3191 a été publié le 24 août 2017 et une version non compromise du programme le 15 septembre 2017.
Chercheurs en sécurité du groupe Talos de Cisco révélé détails sur l'attaque réussie de la chaîne d'approvisionnement. Le groupe Talos a informé Avast, la société mère de Piriform, de la situation.
Le groupe Talos a «identifié un exécutable spécifique» lors des tests du nouvel outil de détection d'exploit de la société, qui provenait du programme d'installation de CCleaner 5.33, qui à son tour était fourni par des serveurs de téléchargement CCleaner légitimes.
L'exécutable téléchargé a été signé avec une signature Piriform valide. Le programme d'installation contenait une «charge utile malveillante comportant un algorithme de génération de domaine» ainsi que des fonctionnalités de «commande et contrôle codées en dur».
Les chercheurs de Talos ont conclu que la charge malveillante était distribuée entre la sortie de la version 5.33 le 15 août 2017 et la sortie de la version 5.34 le 12 septembre 2017.
Les chercheurs pensent qu'il est probable qu '«un attaquant externe a compromis une partie» de l'environnement de développement ou de construction de Piriform, et a utilisé l'accès pour insérer le malware dans la version CCleaner. Une autre option que les chercheurs envisagent est qu'un initié a inclus le code malveillant.
Les utilisateurs de CCleaner qui souhaitent s'assurer que la version compromise n'est pas toujours sur leur système peuvent vouloir l'analyser sur Virustotal , ou scannez-le avec ClamAV, car c'est le seul logiciel antivirus qui détecte la menace dès maintenant.
Vous pouvez télécharger gratuitement ClamAV à partir de ce site Web.
La charge utile malveillante crée la clé de registre HKLM SOFTWARE Piriform Agomo: et l'utilise pour stocker diverses informations.
Piriforme Publié une déclaration du 18 septembre 2017. Selon cette déclaration, des données non sensibles peuvent avoir été transmises à un serveur aux États-Unis d'Amérique.
Le compromis pourrait entraîner la transmission de données non sensibles (nom de l'ordinateur, adresse IP, liste des logiciels installés, liste des logiciels actifs, liste des adaptateurs réseau) vers un serveur informatique tiers aux États-Unis. Nous n'avons aucune indication que d'autres données ont été envoyées au serveur.
Paul Yung, vice-président des produits de l'entreprise, publié une évaluation technique de l'attaque sur le blog de l'entreprise également.
La seule suggestion de Piriform est de mettre à jour la version la plus récente.
Mots de clôture
Les versions compromises de CCleaner et CCleaner Cloud ont été distribuées pendant près d'un mois. Avec plus de 20 millions de téléchargements par mois et les mises à jour, c'est un nombre élevé de PC qui ont été touchés par cela.